Разработка инфраструктуры территориально распределенной корпоративной сети CorpPAA (вариант № 11-WLAN-DLink)

* - необязательное (но желательное) для выполнения.

2. Проектирование  логической структуры сети

Для обеспечения  наилучшей производительности, управляемости  и масштабируемости сети при разработке ее физической структуры, необходимо использовать многоуровневый подход. Такой подход позволяет расширять сеть путем  добавления новых блоков, легко находить неисправности, позволяет ввести детерминизм  в поведении и управлении сетью. При таком подходе выделяют следующие  уровни:

Уровень ядра – находится на самом верху иерархии и отвечает за надежную и быструю передачу больших объемов данных. Трафик, передаваемый через ядро, является общим для большинства пользователей. Сами пользовательские данные обрабатываются на уровне распределения, который, при необходимости, пересылает запросы к ядру. Для уровня ядра большое значение имеет его отказоустойчивость, поскольку сбой на этом уровне может привести к потере связности между уровнями распределения сети.

Уровень распределения, является связующим звеном между уровнями доступа и ядра. В зависимости от способа реализации, уровень распределения может выполнять следующие функции:

- обеспечение  маршрутизации, качества обслуживания  и безопасности сети;

- агрегирование  адресов;

- переход  от одной технологии к другой (например, от 100Base-TX к 1000Base-T);

- объединение  полос пропускания низкоскоростных  каналов доступа в высокоскоростные  магистральные каналы.

Уровень доступа управляет доступом пользователей и рабочих групп к ресурсам объединенной сети. Основной задачей уровня доступа является создание точек входа/выхода пользователей в сеть. Уровень выполняет следующие функции:

- продолжение  (начиная с уровня распределения)  управления доступом и политиками  сети;

- создание  отдельных доменов коллизий (сегментация);

- подключение  рабочих групп к уровню распределения;

- уровень  доступа использует технологию  коммутируемых локальных сетей.

Сеть корпорации CorpPAA должна быть спроектирована таким образом, чтобы домены коллизий и широковещательного трафика были как можно меньше. Использование коммутаторов на уровне доступа решает проблему с доменом коллизий: при микросегментации размер домена коллизий равен 1 (1 рабочая станция).

При выборе технологии построения локальной сети необходимо учитывать то, что во многих случаях  проектируемая сеть должна быть приспособлена  к имеющейся кабельной системе. Согласно ТЗ на данный момент в зданиях компании существует кабельная система, состоящая из UTP-5 (для технологии 100BASE-TX). Эта система должна быть использована для соединения сетевой розетки на рабочем месте сотрудника и коммутатора на этаже. Стандарт EIA/TIA-568 допускает использование в вертикальной подсистеме многомодового оптоволоконного кабеля (62.5/125 мкм). Для обеспечения возможности будущего роста проектируемой сети в вертикальной подсистеме целесообразно применение технологии 1000Base-SX. Для данного стандарта дальность прохождения сигнала без повторителя достигает 500м, что для проектируемой сети будет вполне достаточно. Использование в вертикальной подсистеме 10-гигабитного Ethernet является нецелесообразным, поскольку при этом значительно увеличивается стоимость оборудования,  и, кроме того, такая скорость будет излишней.

Таким образом, будем реализовывать такую структуру  сети, при которой на каждом этаже  будет располагаться стек коммутаторов уровня доступа. Поскольку на некоторых  этажах располагается несколько  отделов, то необходимо использовать технологию VLAN. Для объединения горизонтальных подсистем этажей будем использовать гигабитный коммутатор, поддерживающий технологию 1000BASE-SX. Для повышения надежности на уровне распределения будем использовать резервирование коммутаторов. Связь будет осуществляться по принципу «каждый с каждым». Поскольку при данной организации в сети могут возникнуть кольца, следует использовать протокол STP.

Серверный блок при помощи использования гигабитных коммутаторов 2-го уровня будет также подсоединяться к коммутатору здания.

Согласно  техническому заданию, для сотрудников  отдела маркетинга необходимо организовать беспроводную сеть с возможностью выхода в Интернет. Для этого необходимо использовать беспроводную точку доступа, которая будет подключаться к  коммутатору этажа.

1. Распределение VLAN’ов

5. Распределение VLAN’ов

№ VLAN	VLAN name	Примечание
1	Default	Не используется
2	Administration	Для управления устройствами
3	Servers	Для внешних серверов
4-100		Зарезервировано
Здание А
111	HR	Отдел кадров
112	Marketing(1)	Отдел маркетинга(1 группа)
113	Marketing(2)	Отдел маркетинга(2 группа)
114	IT	Отдел информ. технологий
121	Executive	Руководство
122	Accounting	Бухгалтерия
123	Business	Отдел экономики
13	Project1	Проектный отдел 1
14	Project2	Проектный отдел 2
15	Project3	Проектный отдел 3
Здание В
21	Manufacture 1	Производство 1
22	Manufacture 2	Производство 2
23	Production	Склад
Здание С
31	Research 1	Отдел разработок 1
32	Research 2	Отдел разработок 2

Каждый отдел будет выделен в отдельный VLAN. Таким образом мы ограничим широковещательные домены. Также введём специальный VLAN для управления устройствами. Номера VLAN c 4 по 100 зарезервированы для будущих нужд.

План распределения  IP-адресов будет приведен далее.

3. Проектирование  физической структуры сети

1. Описание структурированной кабельной сети

Так как в ТЗ явно не указаны  размеры зданий, то примем их произвольными, этажные перегородки между группами пользователей не мешают прокладке  кабеля с учетом того, что длина  кабеля не должна превышать максимальной длины для 100BASE-TX равной 100 метров.

Размещение коммутационного  оборудования на этажах

В каждом здании, будь то здание A, B или C, на любом из этажей выделяется серверная комната, в которой расположено все серверное и коммутационное оборудования. Коммутаторы групп расположены на этажах соответствующих групп.

Требование к  оборудованию и линиям связи

К линиям связи и оборудованию предъявляются следующие требования:

• между пользователем и соответствующим коммутатором 2 уровня скорость передачи данных должна быть не ниже 100 Mbit/s, следовательно, на уровне доступа логично использовать линии связи стандарта 100Base-TX;
• между коммутатором уровня доступа и коммутатором уровня распределения (коммутатор 3 уровня) скорость передачи данных должна быть не ниже 1000 Mbit/s для обеспечения передачи большого сетевого трафика, в данном случае логично использовать оптические линии связи по стандарту 1000Base-LX;
• между коммутаторами уровня распределения и другими устройствами (маршрутизаторы, брандмауэры) также будет использована оптическая линия связи по стандарту 1000Base-LX;
• между зданием A и B, и между зданием А и интернет провайдером реализован канал T1;
• остальные линии реализованы посредством телефонных линий связи;
• в отделе маркетинга и на складе(Production) реализован беспроводной канал связи.

Нами были перечислены  все основные требования к линиям связи, теперь сформулируем требования к активному сетевому оборудованию, т.к. всё используемое оборудование и линии связи должны быть совместимы друг с другом.

2. Выбор сетевого оборудования

Выбор сетевого оборудования согласно ТЗ будем проводить  среди продуктов фирмы DLink. Эта компания производит полный спектр оборудования для создания проводных и беспроводных сетей, широкополосного доступа, IP-телефонии и мультимедиа-устройств. Несмотря на то, что продукция этой фирмы в основном рассчитана на потребительский сектор рынка сетевого оборудования, и, кроме того, имеет не совсем хорошую репутацию в области надежности и безотказности, ее преимуществом по сравнению с продукцией других фирм, таких, как HP или Cisco, является, прежде всего, невысокая цена.

При выборе конкретной модели будем  руководствоваться следующими критериями.

- количество портов;

- скорость работы;

- поддерживаемые технологии;

- поддерживаемые типы  кабелей.

Уровень доступа

Для уровня доступа будем используем  коммутаторы DLink серии DES-3500. Управляемые коммутаторы этой серии обладают большим функционалом и позволяет решать все необходимые задачи для уровня доступа корпорации CorpPAA.

Коммутаторы серии 10/100 Мбит/с D-Link DES-3500 являются взаимно стекируемыми коммутаторами уровня доступа, поддерживающими технологию Single IP Management (SIM, управление через единый IP-адрес). Эти коммутаторы, имеющие 24 или 48 10/100BASE-TX портов и 2 комбо порта 1000BASE-T/SFP Gigabit Ethernet в стандартном корпусе для установки в стойку, разработаны для гибкого и безопасного сетевого подключения. Коммутаторы серии DES-3500 могут легко объединяться в стек и настраиваться вместе с любыми другими коммутаторами с поддержкой D-Link Single IP Management, включая коммутаторы 3-го уровня ядра сети, для построения части многоуровневой сети, структурированной с магистралью и централизованными быстродействующими серверами.

В основном, коммутаторы серии DES-3500 формируют стек сети уровня подразделения, предоставляя порты 10/100 Мбит/с и  возможность организации гигабитного  подключения к магистрали. Трафик, передаваемый между устройствами стека, проходит через интерфейсы Gigabit Ethernet с поддержкой полного дуплекса и обычные провода сети, позволяя избежать использования дорогостоящих и громоздких кабелей для стекирования. Отказ от использования этих кабелей позволяет устранить барьеры, связанные с их длиной и ограничениями методов стекирования. В стек могут быть объединены устройства, расположенные в любом месте сети, исключая возможность появления любой точки единственного отказа (single point of failure).

В стек можно легко объединить до 32-х коммутаторов, независимо от модели. Виртуальный стек поддерживает любые  модели коммутаторов со встроенным Single IP Management. Это означает, что стек может быть расширен коммутаторами, включая коммутаторы 3-го уровня для ядра сети, коммутаторы на основе шасси или любые другие коммутаторы.

Серия DES-3500 обеспечивает расширенный  набор функций безопасности для  управления подключением и доступом пользователей. Этот набор включает Access Control Lists (ACL) на основе МАС-адресов, портов коммутатора, IP адресов и/или номеров портов TCP/UDP, аутентификацию пользователей 802.1х и контроль МАС-адресов. Помимо этого, DES-3500 обеспечивает централизованное управление административным доступом через TACACS+ и RADIUS. Вместе с контролем над сетевыми приложениями, эти функции безопасности обеспечивают не только авторизованный доступ пользователей, но и предотвращают распространение вредоносного трафика по сети.

Для повышения производительности и безопасности сети коммутаторы  серии DES-3500 обеспечивает расширенную  поддержку VLAN, включая GARP/GVRP, 802.1Q и асимметричные VLAN. Ассиметричные VLAN будут использоваться для доступа к конфиденциальным серверам отделов. Управление полосой пропускания позволяет установить лимит трафика для каждого порта, что дает возможность управлять объемом трафика на границе сети.

В серии DES-3500 для проектируемой сети будем использовать модели коммутаторов DES-3550 (48 портов 10/100BASE-TX, 2 комбо-порта 1000BASE-T/ MiniGBIC (SFP)) и DES-3526 (24 порта 10/100BASE-TX, 2 комбо-порта 1000BASE-T/ MiniGBIC (SFP)). Поскольку в проектируемой сети в вертикальной подсистеме будет использоваться технология 1000BASE-SX, в коммутаторы необходимо будет установить трансивер MiniGBIC DEM-311GT с 1 портом 1000BASE-SX для многомодового оптического кабе.

Стеки коммутаторов планируется установить на каждом этаже в каждом з дании. Суммарное число РС на каждом этаже зданий и состав стеков коммутаторов приведен в таблице 2. Избыток портов необходим для подключения конфиденциальных серверов отделов, а также для обеспечения масштабирования сети без необходимости установления новых коммутаторов в стек. Два порта одного коммутатора стека будут использоваться для подключения к коммутаторам здания.

6. Состав стеков коммутаторов

Этаж	Число рабочих станций  на этаже	Число КМ с 24 портами	Число КМ с 48 портами	Общее число портов в  стеке	Избыток портов
Здание A
1	84*3=252	0	6	336	22
2	15+44+16=75	0	2	96	21
3	187	1	4	216	29
4	210	0	5	240	30
5	176	0	4	192	16
Итого:	900	1	21	1032	132
Здание B
1(M1)	245	1	4	264	19
1(M2)	350	1	7	360	10
1(P)	630	1	13	648	18
Итого:	1225	3	24	1272	47
Здание C
1	126	0	3	144	18
2	196	1	4	216	20
Итого:	322	1	7	360	38